Informacijski pooblaščenec Republika Slovenija
| sl | Iskalnik po spletni strani   Priredbe v znakovni jezik  
dekorativna slika

Varstvo osebnih podatkov v primeru prijave šikaniranja zaposlenega

+ -
Datum: 24.07.2024
Številka: 07121-1/2024/857
Kategorije: Delovna razmerja, Posredovanje osebnih podatkov, Pravne podlage, Upravljanje gospodarskih družb, Zakoniti interesi

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje v zvezi z razkritjem osebnih podatkov pri obravnavi nepravilnosti med delom oz. uvedbo disciplinskega postopka. Pojasnjujete, da vas je na delovnem mestu sodelavec, sicer zaposlen pri drugem podjetju znotraj istega krovnega podjetja (holdinga), šikaniral. Ta pogovor je bil skladno s podzakonskimi in internimi akti posnet, saj je potekal po sistemu, ki je namenjen službeni komunikaciji. Zadevo ste prijavili nadrejenim, ki so prijavo posredovali službi notranjega nadzora ter nadrejenemu omenjenega delavca, skednji pa je celotno vsebino prijave, vključno z vašim imenom in priimkom, posredoval domnevnemu kršitelju ter vsem njegovim sodelavcem, zaposlenim na enakem delovnem mestu. Zanima vas, ali je s tem kršen zakon o varstvu osebnih podatkov ter, kakšna globa se teoretično lahko izreče delodajalcu ter njegovi odgovorni osebi. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pravno podlago za obdelavo osebnih podatkov za namen obravnave prijave šikaniranja na delovnem mestu znotraj delodajalca lahko predstavlja 48. člen ZDR-1 v povezavi s pogodbo o zaposlitvi, za posredovanje teh podatkov povezani družbi pa zakoniti interes. IP pa v mnenju ne more presojati, ali je bila takšna obdelava osebnih podatkov v konkretnem primeru zakonita.

Dejstvo, da je povezana družba določene osebne podatke pridobila zakonito, še ne pomeni, da so se s temi podatki upravičeni seznaniti vsi zaposleni pri tej družbi, saj je to odvisno od njihovih delovnih nalog oziroma pooblastil.

Za kršitve temeljnih načel za obdelavo, kot so določena v 5., 6., 7. in 9. členu Splošne uredbe, je za pravne osebe, samostojne podjetnike posameznike in posameznike, ki samostojno opravljajo dejavnost, predpisana globa za prekršek v znesku do 20.000.000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji, za odgovorne osebe le-teh pa globa od 200 do 8.000 EUR.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da v mnenju ne more presojati zakonitosti določene obdelave osebnih podatkov, saj lahko takšno presojo izvede zgolj v okviru konkretnega nadzornega postopka. Zato vam na vaše vprašanje, ali je v opisani situaciji podana kršitev pravice do varstva osebnih podatkov, ne more dokončno odgovoriti, v zvezi s tem pa izpostavlja nekatera pravna izhodišča.

Vsak upravljavec mora imeti za obdelavo osebnih podatkov, torej tudi za njihovo razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, zakonito in ustrezno pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe.

Pri obdelavi osebnih podatkov v okviru delovnih razmerij je relevanten predvsem prvi odstavek 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13 s spremembami in dopolnitvami; v nadaljevanju ZDR-1) v zvezi s točko b prvega odstavka 6. člena Splošne uredbe (obdelava, ki je potrebna za izvajanje pogodbe o zaposlitvi). Ta predpisuje, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Uvodna izjava 48 Splošne uredbe pa pojasnjuje, da imajo lahko upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, zakoniti interes (torej pravno podlago po točki f prvega odstavka 6. člena Splošne uredbe) za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih.

To pomeni, da bi v konkretnem primeru lahko pravno podlago za obdelavo osebnih podatkov za namen obravnave vaše prijave šikaniranja na delovnem mestu znotraj delodajalca predstavljal ZDR-1 v povezavi s pogodbo o zaposlitvi, za posredovanje teh podatkov povezani družbi pa zakoniti interes. Ali so te pravne podlage v opisanem primeru dejansko ustrezne glede na konkretne okoliščine ter upoštevaje organizacijo povezanih družb in interna pravila, IP v mnenju ne more presojati. Poudarja pa, da je obdelava na podlagi točke f prvega odstavka 6. člena Splošne uredbe zakonita le, če so kumulativno izpolnjeni trije pogoji:

1.     interes upravljavca ali tretje osebe mora biti zakonit;

2.     obdelava mora biti nujna in potrebna za doseganje zakonitega interesa, za katerega si prizadeva upravljavec ali tretja oseba;

3.     interesi ali temeljne pravice in svoboščine posameznika, na katere se nanašajo osebni podatki, ne prevladajo nad interesi upravljavca.

Oceno zakonitega interesa v teh treh korakih mora upravljavec opraviti pred začetkom obdelave in jo v skladu z načelom odgovornosti dokumentirati, na podlagi 13. člena Splošne uredbe pa posameznika o zakonitih interesih tudi obvestiti.

Ob tem IP opozarja, da morebitno dejstvo, da je povezana družba določene osebne podatke pridobila zakonito, še ne pomeni, da so se s temi podatki upravičeni seznaniti vsi zaposleni pri tej družbi. To je namreč povsem odvisno od njihovih delovnih nalog in pooblastil. Upravljavci morajo med drugim upoštevati načelo najmanjšega obsega podatkov iz točke c prvega odstavka 5. člena Splošne uredbe, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Vsekakor bi bilo v konkretni situaciji koristno v prvi fazi oceniti, ali je podana pravna podlaga za posredovanje osebnih podatkov povezani družbi, ter nato, ali bi se zasledovan namen, zaradi katerega so bili z vašimi osebnimi podatki seznanjeni tudi drugi zaposleni, doseči z milejšim ukrepom (anonimizirani ali psevdonimizirani podatki, seznanitev ožjega kroga zaposlenih ipd.).

Ker IP v mnenju ne more presojati zakonitosti obdelave osebnih podatkov v konkretnem primeru, vam posledično ne more odgovoriti, kakšna globa bi bila lahko izrečena vašemu delodajalcu ter njegovi odgovorni osebi, saj je to odvisno od številnih dejavnikov. Pojasnjuje pa, da so splošni pogoji za naložitev upravnih glob določeni v 83. členu Splošne uredbe, kazenske določbe pa vsebuje tudi ZVOP-2 v  III. delu. Na primer, za kršitve temeljnih načel za obdelavo, kot so določena v 5., 6., 7. in 9. členu Splošne uredbe, je za pravne osebe, samostojne podjetnike posameznike in posameznike, ki samostojno opravljajo dejavnost, predpisana globa za prekršek v znesku do 20.000.000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji, za odgovorne osebe le-teh pa globa od 200 do 8.000 EUR.

Lepo vas pozdravljamo,

 

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

dr. Jelena Virant Burnik,

informacijska pooblaščenka